Numéro cinq
Retrouvez le numéro cinq de Third : La sécurité dans un monde numérique
Retrouvez le numéro cinq de Third : La sécurité dans un monde numérique
Sur la scène nationale et internationale, la cybersécurité est aujourd’hui qualifiée d’enjeu majeur. Face à l’augmentation incessante du volume et du niveau de gravité des incidents de sécurité dans le cyberespace, les États se sont dotés d’instruments juridiques et techniques leur permettant d’organiser les réponses nécessaires.
Bien que le concept de « cybersécurité » se trouve désormais au cœur des politiques de sécurité et de défense nationale, son périmètre semble encore imprécis, ses définitions se montrant trop larges ou, au contraire, trop réductrices. L’absence de consensus constitue pourtant en elle-même un défi important : elle pénaliserait la communication entre décideurs ou ingénieurs, pourrait occasionner des désaccords ou des erreurs d’interprétation, rendrait impossible les comparaisons des politiques, etc.
Il est possible cependant de mettre en exergue des lignes de convergence relativement fortes, tant dans la manière d’appréhender la cybersécurité que de la définir, qui dessinent le périmètre de ce concept de « cybersécurité ».
La sécurité des systèmes de communication est une préoccupation ancienne, qui fait l’objet de débats et de demandes de législations spécifiques dès le XIXème, à l’heure du télégraphe (comment protéger les messages, comment sécuriser les infrastructures en temps de paix et de guerre…).
Plus près de nous, la sécurité informatique est devenue un enjeu à part entière dès les années 19601. La société s’informatise progressivement, l’ordinateur offre des outils d’aide à la décision, des outils de gestion, des moyens de calcul, traite déjà des données en grandes quantités – parfois sensibles voire classifiées – via des systèmes qui sont progressivement mis en réseaux. La sécurité, alors, peut parfois se résumer à des procédures de contrôles d’accès physique aux machines. Mais elle est aussi celle des logiciels (se protéger de la contrefaçon), des données (qu’il faut protéger du vol ou d’accès non autorisés). Elle vise à « minimiser la tentation de casser les systèmes »2 et prévoit l’ensemble des contre-mesures techniques au crime électronique qui est « très simple, présentant peu de risques physiques et ayant une faible probabilité de détection »3. On parle alors de sécurité des ordinateurs, sécurité informatique (computer security), sécurité des systèmes d’information (information systems security) puis de sécurité des réseaux d’ordinateurs (computer networks security).
Le droit a accompagné ces évolutions et la prise en compte de la sécurité. Un corpus s’est construit autour de la protection des données personnelles (décennie 1970), puis de la lutte contre le crime informatique et le piratage (décennie 1980) tant en Europe qu’aux États-Unis. Les années 1990 ont ouvert une nouvelle ère de l’histoire de l’informatique et des télécommunications. Un droit de l’internet s’est dès lors constitué. Mais c’est principalement au cours des deux dernières décennies qu’un cadre propre à la cybersécurité a été élaboré : avec la formulation de stratégies nationales de cybersécurité, par la règlementation européenne (la directive Network and Information Security (NIS) de 20164; le règlement européen 2019/881 dit Cybersecurity Act du 12 mars 20195…), par des initiatives régionales (Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel en date du 27 juin 20146), par les lois nationales (en France la loi de programmation militaire de 20137 ou la loi n°2018-133 du 26 février 2018 relative à la sécurité des réseaux et des systèmes d’information 8 ; en Chine la loi de cybersécurité de 2017, etc.)
Les stratégies, politiques, législations en matière de cybersécurité se multiplient ainsi depuis 20 ans, partout dans le monde. Ces politiques de cybersécurité se focalisent sur l’organisation des moyens à mettre en œuvre pour construire un cyberespace sûr. Le volet « lutte contre la cybercriminalité » en est bien sûr un pan spécifique, mais on y trouve également la prise en compte de la protection des données personnelles, la protection des infrastructures critiques, la responsabilisation des opérateurs, le développement de l’industrie de cybersécurité, de la recherche et du développement (R&D), du partenariat public-privé, la création d’agences nationales, d’outils de coordination et de dialogue international, etc.
Que désigne plus précisément cette « cybersécurité » à laquelle les États accordent tant d’importance ? De nombreuses définitions ont été proposées par des organisations internationales, l’industrie, la recherche académique, les administrations.
Rappelons-en ici quelques-unes :
– Pour l’Union Internationale des Télécommunications (UIT) : « la cybersécurité est un ensemble d’outils, de politiques, de concepts de sécurité, de garanties de sécurité, de directives, d’approches de gestion des risques, d’actions, de formations, de meilleures pratiques, d’assurances et de technologies pouvant être utilisées pour protéger le cyber-environnement, l’organisation et les actifs de l’utilisateur. Les actifs de l’organisation et de l’utilisateur comprennent les appareils informatiques connectés »9 (2008).
– Pour l’agence européenne ENISA : « la cybersécurité couvre tous les aspects de la prévention, de la prévision, tolérance, détection, atténuation, suppression, analyse et enquête des cyber incidents. Considérant les différents types de composants de l’espace cybernétique, la cybersécurité devrait couvrir les attributs suivants : disponibilité, fiabilité, sécurité, confidentialité, intégrité, maintenabilité (systèmes, informations et réseaux tangibles) robustesse, capacité de survie, résilience (pour soutenir la dynamique du cyber espace), la responsabilité, l’authenticité et la non-répudiation (pour soutenir la sécurité de l’information) » (2017).
– Pour l’entreprise de cybersécurité Kaspersky « la cybersécurité consiste à défendre les ordinateurs, les serveurs, les appareils mobiles, les systèmes électroniques, les réseaux et les données contre les attaques malveillantes. C’est ce qu’on appelle également la sécurité des technologies de l’information ou la sécurité des informations électroniques. Le terme s’applique dans divers contextes, allant de l’informatique professionnelle à l’informatique mobile, et peut être divisé en quelques catégories communes » (2019)10.
– En France, elle est définie par l’ANSSI comme un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense » (2019)11.
– Elle y est définie dans le Dictionnaire du Département de la Défense américain comme l’ensemble des « mesures prises dans le cyberespace protégé pour empêcher tout accès non autorisé, exploitation ou endommagement des ordinateurs, des systèmes de communications électroniques et d’autres technologies de l’information, y compris les technologies des plates-formes d’information, ainsi que les informations qu’ils contiennent, afin de garantir leur disponibilité, intégrité, authentification, confidentialité et non répudiation » (2019).
Il faut davantage voir le tournant des années 2000 comme une transition naturelle entre « la cybersécurité » et la « sécurité des systèmes d’information » d’avant, qu’une rupture véritable. Selon un rapport de l’OCDE de 201212 cette seconde phase se caractériserait toutefois par une approche plus globale, intégrant les multiples aspects de la sécurité de la société en réseau (économique, social, juridique, technique, militaire, diplomatique, etc.). Telle qu’elle est traitée dans les stratégies nationales, la cybersécurité, ou sécurité des systèmes d’informations (les deux appellations coexistent) apparaît donc comme une question très large tant dans ses modalités que ses effets, ses implications, ses composantes, le nombre d’acteurs qu’elle mobilise, les moyens techniques et financiers qu’elle nécessite. Ces stratégies nationales traduisent d’autre part une préoccupation commune aux États : la défense, la construction et l’affirmation de la souveraineté dans le cyberespace.
Et s’il n’y a en effet pas une unique définition consensuelle, nous avons cependant pu constater l’existence de fortes convergences dans les approches. Une étude réalisée sur la base d’un corpus de définitions plus étendu13 a permis d’identifier quelques constantes : la cybersécurité est affaire de procédures, de normes, de moyens techniques et humains, mais elle consiste en priorité en la protection de systèmes (ordinateurs, réseaux, systèmes logiciels, données). La conception de la cybersécurité se veut résolument techno-centrée. La mise en œuvre de moyens et de procédures occupe une place essentielle. La dimension humaine de la sécurité y semble secondaire.
Nous entendons sans cesse parler de cybersécurité sans pour autant comprendre ce que recouvre cette notion. Pour nous permettre de mieux l’appréhender, Daniel Ventre dresse l’historique de la cybersécurité et formule une approche synthétique de la cybersécurité fondée sur les constantes des multiples définitions qui en existent.
1 | Jeffrey G. Bergart, Marvin Denicoff, David K. Hsiao, An annotated and Cross-Referenced Bibliography on Computer Security and Access Control in Computer Systems, Ohio State Univ., Columbus – Computer and Information Science Research Center, Report OSU-CISRC-TR-72-12, November 1972. (Retour au texte 1)
2 | J.J. Hellman, Privacy and Information Systems, The RAND Corporation, Santa Monica, California, May 1970. (Retour au texte 2)
3 | R Turn, H.E. Petersen, Security of Computerized Information Systems, The RAND Corporation, July 1970. (Retour au texte 3)
4 | Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union. (Retour au texte 4)
5 | Ce texte prolonge et renforce les mesures de la directive NIS : mise en place d’une certification de la cybersécurité à l’échelle européenne pour les produits, les services et les processus des technologies de l’information et de la communication et extension du rôle de l’agence permanente de l’Union européenne pour la cybersécurité (ENISA). (Retour au texte 5)
6 | https://www.afapdp.org/wp-content/uploads/2018/06/CONV-UA-CYBER-PDP-2014.pdf. (Retour au texte 6)
7 | L’article 22 de la loi n°2013-1168 du 18 décembre 2013 (codifié aux articles L. 1332-6-1 à L. 1332-6-6 du code de la défense) prévoit des mesures de renforcement de la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV). (Retour au texte 7)
8 | Loi qui transpose la directive européenne NIS de 2016. A la notion de cybersécurité, la loi préfère celle de « sécurité des réseaux et systèmes d’information » qui « consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ». (Retour au texte 8)
9 | https://www.itu.int/en/ITU-T/studygroups/com17/Pages/cybersecurity.aspx. (Retour au texte 9)
10 | https://www.kaspersky.com/resource-center/definitions/what-is-cyber-security. (Retour au texte 10)
11 | https://www.ssi.gouv.fr/entreprise/glossaire/c/. (Retour au texte 11)
12 | OECD (2012-11-16), Cybersecurity Policy Making at a Turning Point: Analysing a New Generation of National Cybersecurity Strategies for the Internet Economy, in OECD Digital Economy Papers, No. 211, OECD Publishing, Paris. http://dx.doi.org/10.1787/5k8zq92vdgtl-en. (Retour au texte 12)
13 | Une étude détaillée des définitions, typologies, taxonomies et ontologies de la cybersécurité est publiée dans un ouvrage collectif à paraître : Hugo Loiseau, Daniel Ventre, Hartmut Aden, Cybersecurity in Humanities and Social Sciences : A Research Methods Approach, Wiley-ISTE, November 2020. (Retour au texte 13)